Ponieważ anonimizacja danych wydaje się główną metodą ucieczki spod restrykcyjnego reżimu RODO, warto mieć świadomość, co i komu grozi, jeśli nie uda się jej przeprowadzić, wystawiając objęte nią zasoby danych na ryzyko wtórnego przyporządkowania do konkretnych osób. Czy firmy, które trenują sztuczną inteligencję na zanonimizowanych danych, powinny liczyć się z odpowiedzialnością, jeśli okaże się, że dane, z których korzystają, jednak nie przeszły trwałej anonimizacji, tylko możliwą do odwrócenia pseudonimizację?

Choć RODO nie odnosi się wprost do takiej sytuacji, wprowadza jednak ogólne zasady odpowiedzialności, które pozwalają ustalić ryzyka związane z niepoprawną anonimizacją danych. Po pierwsze, rozporządzenie ustanawia odpowiedzialność cywilnoprawną, która w praktyce oznacza konieczność wypłaty odszkodowań osobom, jeśli poniosły uszczerbek w związku z tym, że ich dane niepoprawnie zanonimizowano. Równolegle do tej odpowiedzialności RODO przewiduje odpowiedzialność administracyjnokarną, w ramach której nałożone mogą zostać wysokie sankcje pieniężne.

Jest to model ochrony odmienny niż w przypadku innych informacji niejawnych. W przypadku tajemnicy przedsiębiorstwa ujawnionej w drodze reverse engineering przedsiębiorca będący dotychczasowym jej posiadaczem, który temu nie zapobiegł, ponosi tylko ryzyko biznesowe, natomiast odpowiedzialnością – za popełnienie czynu nieuczciwej konkurencji – zostaje obłożony ten, kto ujawnienia dokonał (choć nie jest to jednomyślnie akceptowane). Natomiast w przypadku danych osobowych odpowiedzialność za ich ujawnienie w drodze reverse identification obciąża zarówno tego, kto ujawnienia dokonał, jak i tego, kto był w ich posiadaniu.

Niepoprawna anonimizacja

Zgodnie z art. 4 ust. 1 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Poprawna anonimizacja danych, tzn. taka, która rzeczywiście spowoduje, że przestaną one podlegać reżimowi RODO, wymaga więc, aby dane nie wskazywały osoby, której dotyczą, ani nawet nie stwarzały możliwości jej ustalenia. Powstaje jednak pytanie, czy wystarczy, że danej osoby nie będzie mógł ustalić administrator lub ten, komu on takie dane powierzył (rozumienie wąskie), czy też konieczne jest, aby osoby tej nie mógł zidentyfikować nikt (rozumienie szerokie).

Choć odpowiedź nie jest zawarta w treści samych przepisów RODO, to jego motyw 26 przemawia za rozumieniem szerokim: wyjaśnia, że należy rozważyć sposoby identyfikacji, które mogą zostać wykorzystane „przez administratora lub inną osobę”. Za takim ujęciem przemawia okoliczność, że dane zanonimizowane przestają być chronione przepisami RODO nie tylko względem administratorów, ale kogokolwiek. Skoro więc nikt nie jest zobowiązany do zachowania reguł RODO w zakresie przetwarzania danych anonimowych, to ważne jest też, aby nikt nie mógł ich wtórnie przypisać do poszczególnych osób.

Takie uregulowanie oznacza w praktyce, że firma, która posługuje się danymi zanonimizowanymi, powinna najpierw ocenić nie tylko, czy ona sama potrafiłaby na podstawie tych danych ustalić, których osób dotyczą, ale także czy byłby to w stanie zrobić ktokolwiek inny. Omawiany motyw precyzuje, że chodzi tylko o identyfikację dokonywaną „rozsądnie prawdopodobnymi sposobami” („means reasonably likely to be used”), co należy z kolei oceniać przez pryzmat tego, ile by dany sposób wymagał czasu, pieniędzy i jakich technologii.

W konsekwencji, gdyby nawet istniałyby rozwiązania umożliwiające identyfikację, ale byłyby nadzwyczajnie drogie lub czasochłonne, anonimizacja powinna być oceniona jako skuteczna. Anonimizacja będzie natomiast rodziła ryzyko odpowiedzialności szczególnie wtedy, kiedy na jej obejście pozwolą szeroko dostępne technologie. Sugeruje to, że ocenę pod tym kątem należy powtarzać z biegiem czasu. Wskazuje na to także motyw 26 RODO, który nakazuje ustalać prawdopodobieństwo identyfikacji z uwzględnieniem postępu technologicznego. Może się bowiem okazać, że środki reverse engineering, które były niemożliwe lub nadzwyczajnie trudne do przeprowadzenia w chwili anonimizacji, staną się „rozsądnie prawdopodobne” wraz z rozwojem technologii, a sama anonimizacja utraci swoją skuteczność i narazi na pozwy o odszkodowania i kary pieniężne.

Odszkodowania

Art. 79 RODO ustanawiający gwarancję ochrony sądowej praw związanych z danymi osobowymi wyraźnie odwołuje się tylko do administratora i procesora, milczy zaś o osobach trzecich bezprawnie wykorzystujących dane przez niego przetwarzane. Brak na poziomie unijnym wyraźnych podstaw odpowiedzialności cywilnoprawnej za bezprawne przetwarzanie danych „odzyskanych” po nieudanej anonimizacji. Art. 78 projektu polskiej ustawy uzupełniającej RODO przewiduje jednak, że nie tylko administrator, ale każdy, kto narusza prawa wynikające z przepisów o ochronie danych osobowych będzie musiał liczyć się z roszczeniami o zaprzestanie naruszenia i dopełnienie „czynności potrzebnych do usunięcia jego skutków”. Choć nie ma tu wprost mowy o odszkodowaniach, nie należy wykluczać, że osoby, których dane niepoprawnie zanonimizowano będą domagać się, aby je wypłacono w ramach usuwania skutków naruszenia.

Można przypuszczać, że w związku z koniecznością wykazania faktycznie poniesionej szkody (lub skutków naruszenia, które mają zostać usunięte) zagrożenie odszkodowaniami będzie pojawiało się nie tyle w przypadku niepoprawnej anonimizacji per se, ile dopiero w sytuacji, w której umożliwi ona wtórną identyfikację osób, których dane dotyczą, i do takiej wtórnej identyfikacji doprowadzi. Jeśli chodzi o łączne kwoty odszkodowań, to zależeć będą one od aktywności samych zainteresowanych. Każda osoba, której prawa wynikające z RODO zostaną naruszone, będzie uprawniona do wystąpienia na drogę sądową.

Żaden proces o odszkodowanie nie będzie mógł być oczywiście wszczęty z urzędu, choć nie można wykluczyć wytaczania takich powództw przez prokuratorów lub powiatowych (miejskich) rzeczników konsumentów. W grę wchodzą też pozwy zbiorowe, choć w obecnym stanie prawnym brak jakichkolwiek ułatwień dla dochodzenia w ten sposób roszczeń związanych z naruszeniem RODO. Grupa osób ubiegających się o odszkodowanie musiałaby wskazać umowną podstawę swoich roszczeń, a w jej braku udowodnić winę naruszyciela.

Wysokość poszczególnych odszkodowań zależeć będzie od rozmiaru uszczerbku faktycznie poniesionego przez konkretną osobę. Wielomilionowe odszkodowania z amerykańskich filmów są zasadniczo wykluczone tak długo, jak polskie prawo nie przewiduje instytucji punitive damages, tj. odszkodowań przekraczających rozmiar rzeczywistej szkody i zasądzanych nie tylko z uwagi na potrzebę jej naprawienia, ale również w celu ukarania sprawcy szkody.

Niemniej ryzyko odszkodowań znacznej wysokości nie jest wykluczone o tyle, o ile można ich żądać nie tylko za szkodę materialną, a więc utratę określonych aktywów lub przyszłych zarobków, lecz także za szkodę niematerialną (krzywdę). Wycena tej drugiej jest siłą rzeczy trudniejsza do precyzyjnego oszacowania, co pozostawia sądowi większe pole manewru. Pola tego nie ogranicza samo RODO. Jego motyw 146 zawiera wyraźną wskazówkę interpretacyjną dla sądów rozpatrujących pozwy o odszkodowanie, aby pojęcie szkody rozumieć w sposób szeroki i w pełni odzwierciedlający cele unijnego rozporządzenia.

Kary pieniężne

Poszerzoną swobodą będą się cieszyć także organy państwowe sprawujące nadzór administracyjny nad stosowaniem RODO. Omawiany akt prawa unijnego przewiduje kary w wysokości nawet do 4% rocznego światowego obrotu przedsiębiorstwa-naruszyciela (lub do 20 mln euro w przypadku podmiotów innych niż przedsiębiorstwa). Wytyczając precyzyjną wysokość sankcji w ramach tak szeroko wytyczonych widełek, organ będzie musiał jednak wziąć pod uwagę katalog przesłanek, bardziej rozbudowany niż w przypadku kar nakładanych na podstawie przepisów Kodeksu postępowania administracyjnego.

Za wyższą karą przemawiać będzie m.in. duża liczba poszkodowanych i rozmiar poniesionych przez nich szkód, a ponadto wcześniejsze naruszenia RODO. Z kolei na jej obniżenie może wpłynąć fakt popełnienia naruszenia w sposób nieumyślny, podjęcie działań w celu zmniejszenia szkód wyrządzonych tym naruszeniem lub dobrowolne poinformowanie o nim organu. Wyliczenie okoliczności podlegających ocenie przed wymierzeniem kary ma charakter otwarty, co utrudnia prewencyjne przygotowanie strategii minimalizującej potencjalną karę.

Oprócz samych kar, odpowiedni organ administracji będzie też dysponował wachlarzem innych środków przymusu, w szczególności nakazów dostosowania operacji przetwarzania danych do wymogów RODO, zawiadomienia osób, których dane dotyczą, o naruszeniu ich ochrony lub ograniczenia przetwarzania danych – częściowego lub całkowitego. W razie niezastosowania się do tych środków dopuszczalne będzie nałożenie kary w maksymalnej wysokości.

W pierwszej kolejności z takimi karami powinni się liczyć administratorzy, choć sankcje za niektóre naruszenia mogą być nałożone na każdego. Motyw 74 RODO wskazuje, że jednym z celów jego przyjęcia było ustanowienie odpowiedzialności prawnej administratora za przetwarzanie danych przez niego samego lub w jego imieniu. Z kolei art. 83 RODO będący podstawą nakładania kar administracyjnych wyraźnie wskazuje, które kary odnoszą się wyłącznie do administratorów i procesorów, które do podmiotów certyfikujących, a które do podmiotów monitorujących.

Jednocześnie jednak RODO nie wskazuje żadnych ograniczeń podmiotowych w odniesieniu do naruszeń praw osób, których dane dotyczą, i naruszeń podstawowych zasad przetwarzania. Do tych ostatnich zaliczyć trzeba nie tylko zakaz udostępniania danych osobowych – co miałoby miejsce w razie przekazania przez administratora osobie trzeciej danych umożliwiających ich wtórną identyfikację – ale także sam proces reverse identification oraz jakiekolwiek późniejsze przetwarzanie takich danych.

Lista wykroczeń, za które odpowiedzieć może administrator, jest więc szersza niż wykroczeń, za które odpowiedzieć może podmiot trzeci. Jeżeli jednak można dokonać wtórnej identyfikacji danych, odzyskują one charakter danych osobowych, a podmiot trzeci, który uzyskał je od ich administratora, automatycznie staje się ich bezprawnym przetwórcą. Nawet więc jeśli nie poniesie odpowiedzialności za samą niepoprawną anonimizację, to za ich przetwarzanie będzie zagrożony karami w takiej samej wysokości jak administrator.

Bartosz Troczyński